前編に引き続き、3月10日に閣議決定された個人情報保護法一部改正法案に盛り込まれたクッキーに関わる規制部分について解説致します。(前編はこちらから)
第三者のデータ取得と個人の識別
第三者が個人関連情報を個人データとして取得することが想定されるとは、提供先の第三者が、その合理的に利用し得る他の情報と容易に照合して、特定の個人を識別することができる場合と考えられます。典型的には、ソーシャルメディアやeコマースプラットフォームを運営し、会員情報を管理する事業者が発行するサードパーティ・クッキーによって取得されるブラウザ識別子や閲覧情報などのデータが、タグを埋め込んだウェブサイトから当該事業者に提供され、当該事業者が会員情報と照合することによって特定の個人が識別できる場合です。また、閲覧者のアカウント管理をしていないウェブページにFacebook共有ボタン、「いいね!」ボタンなどのようなソーシャル・プラグインを埋め込む場合、埋め込み元ウェブページでは特定の個人を識別し得ない場合であっても、開示先のソーシャルメディア運営者は、アカウント情報との照合により、個人を識別できる場合があります。
第三者の個人データ取得に関する本人への情報提供、同意の取得
このような形で第三者提供を行う場合には、(1)提供先が個人データとして取得することについて、本人の同意が得られていること、(2)提供先が外国にある場合は、同意に先立って、当該外国での個人情報保護制度、提供先が講じる個人情報保護措置などに関して情報提供されていること、の2点を開示元事業者が確認することが新たに義務づけられます。このような確認をしないで第三者提供してはならないという条文の文言から、情報提供および同意は、第三者提供に先立って事前に行われなければならない、すなわち事前の情報提供およびオプトイン同意が求められると考えられます。
新たな規制の対象となる第三者提供先として、プラットフォーマーとして会員情報を管理しつつ、サードパーティ・クッキーを発行し、ターゲティング広告事業も行っている事業者、具体的にはGoogle、Facebookなどのプラットフォーマーが考えられます。これら2社は2018年の世界デジタル広告費の過半のシェアを占め、我が国でも多くの企業がデジタルマーケティングのために利用しています。
個人関連情報の第三者提供について、本人への情報提供および同意が必要とされるのは、「個人データとして取得することが想定されるとき」とされています。「想定されるとき」の具体的内容、開示先が個人データとして取得するかどうかについて、開示元事業者は調査・確認義務を負うのか、開示先は開示元に対して個人データとして取得するかどうかについて情報提供をする義務を負うのかなど、運用の詳細については、今後、個人情報保護委員会の規則、ガイドラインなどを待つことになります。
新規制に対して必要な対応
個人関連情報第三者提供の新規制に関して、企業において必要とされる対応は以下の通りです。
- 利用するクッキーやプラグインが新規制の適用を受けるかどうか確認
個人関連情報の提供先であるソーシャルメディアや広告エージェンシーがすでに保有する個人データとの照合により、提供に係る個人を識別できるかどうかを確認し、新規制の適用を受けるかどうかを確認しなければなりません。 - 施行までの間に自社ウェブサイトで必要な対策を講じること
改正法案が今国会で可決成立した場合、公布の日(おそらく6月)から2年以内に施行されます。具体的な施行日は追って政令で定められます。新たな第三者提供規制の対象となるターゲティング・クッキーを利用している場合、改正法施行までに、クッキーバナーツールなどを利用して、ウェブサイト利用者に対する情報提供、同意取得、同意管理の準備を進めなければなりません。
改正法案附則第5条により、改正法の施行前であっても、個人関連情報の第三者提供について、改正法が求める同意に相当する同意を得た場合には、つまり、(a)開示先において個人が識別されること、(b)外国事業者への提供の場合には当該外国における個人情報保護制度および開示先事業者が講ずる個人情報保護措置の内容、について情報提供を受けたうえで本人が同意した場合には、そのような同意は、改正後においても有効であるとされています。改正前の同意が一定の場合、改正後にも有効となるので、法改正前であっても、デジタルマーケティングの新施策を採用し、ターゲティング・クッキーなどを一新する好都合なタイミングで遵守対応をスタートさせることもできます。
改正法案に関する資料(個人情報保護委員会・公式ウェブサイト)
https://www.ppc.go.jp/news/press/2019/20200310/
<本ブログ上では、端末装置への読み書きを行う技術全般、Webサイトやモバイルアプリで
利用される他の追跡技術も含め、便宜的にクッキー(Cookie)と記載しています>
人気e-Book
-
クッキー規制対応e-Book2冊が含まれています。
座談会 クッキー・プライバシー保護規制対応の最前線 ~デジタルマーケティングが直面する課題と現実的対策~ 第1部&第2部 -
OneTrust 仕様・機能詳細
グローバルなクッキー規制対応を
OneTrust × IIJで簡単・迅速・低価格に実現
ライセンス料は月額4,800円から
豊富な無料マニュアル・ガイドがあるから自社だけで導入・運用が可能
